Эксперты по кибербезопасности зафиксировали эволюцию банковского трояна Coyote, который начал использовать Microsoft UI Automation (UIA) для обнаружения и атаки на банковские и криптовалютные платформы. Данная техника представляет собой принципиально новый подход к краже финансовых данных, эксплуатирующий функции операционной системы, предназначенные для помощи людям с ограниченными возможностями.
Механизм работы Microsoft UI Automation в контексте кибератак
Microsoft UI Automation представляет собой программный интерфейс, разработанный для обеспечения взаимодействия вспомогательных технологий с элементами пользовательского интерфейса Windows-приложений. Фреймворк позволяет считывать свойства элементов интерфейса, управлять ими и отслеживать изменения в режиме реального времени.
Структура приложений представляется в виде иерархического дерева UI Automation, что дает API UIA возможность просматривать его содержимое, получать детальную информацию об элементах интерфейса и эмулировать действия пользователя. Изначально эта технология была создана для обеспечения полноценного доступа к функциям устройств для людей с особыми потребностями.
Предупреждения экспертов и реализация угрозы
Специалисты компании Akamai еще в декабре 2024 года предупреждали о потенциальных рисках использования UIA для кражи учетных данных. Исследователи подчеркивали, что данная техника способна обойти защитные механизмы EDR-систем во всех версиях Windows, начиная с Windows XP.
Прогнозы экспертов подтвердились в феврале 2025 года, когда были зафиксированы первые реальные атаки с применением этой методики. Coyote стал первым известным вредоносным ПО, злоупотребляющим возможностями Microsoft UIA для кражи конфиденциальных данных.
Эволюция банковского трояна Coyote
Банковский троян Coyote впервые был обнаружен в феврале 2024 года и изначально специализировался на краже учетных данных из 75 банковских и криптовалютных приложений, преимущественно нацеливаясь на пользователей из Бразилии. На начальном этапе вредонос использовал традиционные методы: кейлоггинг и фишинговые оверлеи.
Современная версия Coyote сохранила классические методы атак, но получила дополнительные функции для эксплуатации UIA. Эти возможности активируются, когда пользователь открывает в браузере банковские или криптовалютные сервисы.
Технические особенности новой атаки
Когда Coyote не может идентифицировать целевой объект по заголовку окна, он задействует UIA для извлечения веб-адреса из элементов пользовательского интерфейса браузера, включая вкладки и адресную строку. Полученные данные сравниваются с жестко закодированным списком из 75 целевых финансовых сервисов.
Среди основных целей трояна: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original bank, Sicredi, Banco do Nordeste, а также криптовалютные платформы Binance, Electrum, Bitcoin, Foxbit и другие.
Потенциал развития угрозы
Хотя в текущей реализации злоупотребление UIA ограничивается фазой разведки, эксперты Akamai продемонстрировали возможность использования этой технологии для непосредственной кражи учетных данных с целевых веб-сайтов.
Исследователи отмечают: «Парсинг вложенных элементов другого приложения без UIA представляет нетривиальную задачу. Для эффективного чтения содержимого вложенных элементов разработчик должен глубоко понимать архитектуру конкретного целевого приложения».
Преимущество использования UIA заключается в том, что Coyote может выполнять проверки независимо от режима работы (онлайн или офлайн), что значительно повышает вероятность успешной идентификации банковских и криптовалютных платформ для последующей кражи учетных данных.
Данная ситуация напоминает проблему злоупотребления Accessibility Services в операционной системе Android, которая уже приобрела массовый характер и представляет серьезную угрозу для пользователей мобильных устройств. Появление аналогичных техник в Windows-среде требует немедленного внимания со стороны специалистов по информационной безопасности и разработки соответствующих защитных механизмов для предотвращения дальнейшего распространения подобных угроз.